CA根证书的层级关系和验证流程：

---

1. 证书层级结构（树状图）

[根证书 (Root CA)]
│
├── [中间证书 (Intermediate CA 1)]
│   │
│   ├── [网站证书 (example.com)]
│   └── [邮件证书 (mail.example.com)]
│
└── [中间证书 (Intermediate CA 2)]│└── [代码签名证书 (developer.com)]

• 根证书：位于顶端，自签名，不直接签发终端证书。
• 中间证书：隔离风险，实际签发终端证书。
• 终端证书：最终使用的证书（如网站、邮件、代码签名）。

---

2. 证书验证流程（步骤图解）

1. 浏览器访问 https://example.com│
2. 服务器返回证书链：│   [网站证书] → [中间证书] → [根证书]│
3. 浏览器检查：├─ 证书是否过期？ → ❌ 过期 → 显示警告├─ 域名是否匹配？ → ❌ 不匹配 → 显示警告└─ 签名是否有效？ → 用根证书公钥逐级验证：│├─ 用[根证书]公钥验证[中间证书]签名 → ✅│   ││   └─ 用[中间证书]公钥验证[网站证书]签名 → ✅│└─ 全部通过 → 建立HTTPS加密连接 🔒

---

3. 信任链示意图

[操作系统/浏览器]
│
├── 预置的受信任根证书（如DigiCert、GlobalSign等）
│   │
│   └── 自动信任所有下级证书（中间证书 → 网站证书）
│
└── 手动安装的私有根证书（如企业CA）│└── 仅信任该CA签发的证书（需用户确认风险）

---

关键点标注

• 🔑 根证书私钥：严格离线存储（如硬件加密模块）。
• ⏳ 有效期：根证书（10-25年） > 中间证书（5-10年） > 终端证书（1-2年）。
• 🛡️ 安全隔离：中间证书作为“缓冲层”，即使泄露也可快速吊销，无需动摇根证书。

---